많은 기업들의 경우 고객이나 팀원들과 주요 커뮤니케이션이 이메일을 통해 이루어진다. 타협의 경우 회사는 측면 이동이나 데이터 도난과 같은 추가적인 내부적인 타협에 직면할 뿐만 아니라 고객에게 피해를 주는 것을 목표로 하는 표적 피싱 공격의 "그라운드 제로"가 되어 고객을 위험에 빠뜨린다. 이러한 유형의 피싱 공격은 신뢰할 수 있는 출처에서 온 것이기 때문에 고객에게 유효한 것으로 보일 수 있다. 그러므로 이메일 서버의 보안에 많은 관심을 받고 가능하면 침투 테스트와 레드 팀 작전을 통해 검토하여 보안을 강화할 필요가 있다.
이번 블로그는 피싱에 대한 기본 정보를 알려드리고, 피싱 공격 시나리오 2개에 대해서 말씀드리고자 한다.
Phishing Attacks
StationX에 따르면 데이터 침해의 3분의 1 이상이 피싱에 기인하며, 10개 기업 중 8개 기업이 피싱 시도의 희생자가 된다. 또한 피싱 공격의 빈도는 매년 지속적으로 증가하고 있으며, 보고된 수치는 2019년 779,200건에서 2022년 4,744,699 건으로 증가하고 있다. 또한 랜섬웨어 공격은 특히 데이터 도난과 관련하여 기업들 사이에서 가장 우려되는 위협으로 부상한다. 피싱 이메일을 통한 침입만 해도 랜섬웨어 공격의 68%를 차지하며, 기업의 78%가 적어도 한 번 이상 랜섬웨어 공격을 경험한다.
랜섬웨어 갱단(락빗, 클롭, 아키라 등)이나 인포스틸러(라쿤스틸러, Qakbot 등) 등과 같은 재정적 동기를 가진 Threat Actor들이 주로 피싱 전략을 사용하나, APT(Advanced Persistent Threats)도 역시 이러한 전략을 사용하는 것을 꺼리지 않는다. 피싱 공격을 사용하는 APT에 대해 논의할 때, 대표적인 예로 APT 27이나 APT 41과 같은 중국 APT와 러시아 APT 29와 같은 재정적 이익과 스파이 목적을 위해 피싱 전략을 사용하는 경우가 많다. 이러한 Threat Actor들은 정부 기관과의 긴밀한 관계를 고려할 때 재정적이든 인사적이든 상당한 자원을 보유하고 있어 제로데이을 악용하는 것을 포함하여 공격을 개발하고 실행할 수 있다.
그러한 랜섬웨어 공격의 한 예는 블랙캣 랜섬웨어 갱단이 소셜네트워크 레딧(Reddit)에 침입했을 때 발생했다. 보도에 따르면 레딧은 직원들을 대상으로 한 정교한 피싱 공격의 피해자가 되었다. 레딧은 어떠한 중요한 정보도 손상되지 않았다고 주장했지만, 블랙캣 랜섬웨어 운영자들은 민감하고 기밀한 정보를 포함한 80GB의 데이터에 접근했다고 주장했다.
피싱 공격은 피해자에게 피해를 입히고 잠재적으로 전체 네트워크에 침투하기 위한 효과적인 초기 전략이다. 레딧과 같이 상당한 자원을 보유한 거대 기술 기업도 이러한 공격의 피해자가 될 수 있다. 최근 GOTROOT에서 진행한 모의해킹에서 인터넷을 사용하는 호스트를 해킹하고 악의적인 첨부 파일이 포함된 피싱 이메일을 배포하는 데 성공했다. 사용자에게 피해를 입힌 결과 피싱 캠페인이 유효한 것으로 나타나 네트워크를 더 깊이 파고들어 액세스를 확장할 수 있었다. 이 시나리오는 피싱 공격에 대한 경계와 그 영향을 완화하기 위한 강력한 사이버 보안 조치의 필요성을 강조하며 이 시나리오를 다음으로 설명하고자 한다.
Email Harvesting, Phishing, Account Compromise
1. Email Address Gathering:
공격자는 회사 웹사이트, 소셜 미디어 플랫폼 및 온라인 포럼을 포함한 다양한 공공 소스로부터 이메일 주소를 수집함으로써 공격을 시작한다. 자동화된 도구를 사용하여 공개적으로 접근 가능한 데이터베이스로부터 이메일 주소를 긁어모으거나 그런 데이터가 거래되는 다크웹 페이자에서 구매하는 경우도 많다. 이 초기 단계는 해커들에게 앞으로 이루어질 피싱 캠페인의 피해자들에 대한 정보를 제공한다.
2. Phishing Campaign:
공격자는 수집된 이메일 주소를 가지고 신뢰할 수 있는 발신자의 서신으로 나타나도록 설득력이 있는 피싱 이메일을 작성한다. 이러한 이메일은 종종 잘 알려진 조직, 금융 기관 또는 소셜 미디어 플랫폼을 모방한다. 이메일의 내용은 수신자가 악의적인 링크를 클릭하거나 첨부 파일을 다운로드하는 것과 같은 즉각적인 조치를 취하도록 유도하도록 신중하게 설계된다. 일반적인 전략에는 절박감을 조성하거나 유혹적인 제안 또는 보상을 제공하는 것이 포함된다.
3. Account Leak:
수신자가 피싱 이메일의 피해자가 되어 자신도 모르게 자신의 로그인 정보를 제공하면 공격자는 피해자의 계정에 무단으로 액세스할 수 있다. 여기에는 이메일 계정, 소셜 미디어 프로필 또는 직원이 대상인 경우 회사 계정도 포함될 수 있다. 손상된 계정에 액세스하면 공격자는 다음을 수행할 수 있다:
- 정보 수확: 공격자는 연락처, 개인 데이터 또는 회사 문서와 같이 손상된 계정 내에 저장된 추가적인 민감한 정보를 수집할 수 있다.
- 추가 공격 확산: 손상된 이메일 계정을 사용하여 추가 피싱 공격을 시작하여 조직 내 또는 외부 당사자의 더 넓게 감염을 확산시킬 수 있다.
- 금전적 이득: 공격자는 부정 거래를 시작하거나, 신분 도용을 하거나, 다른 형태의 사이버 범죄에 관여함으로써 금전적 이득을 얻기 위해 손상된 계정을 악용할 수 있다.
- 사이버 공격의 발판: 손상된 계정은 랜섬웨어 공격을 시작하거나 기업 네트워크의 기밀 데이터를 유출하는 등 광범위한 사이버 공격의 발판이 될 수 있다.
E-Mail / File Server Compromise
Initial Access:
이 시나리오에서는 민감한 파일이나 이메일 서버가 공공 인터넷에 노출되지 않는 상황을 고려하고 있다. 그러나 실제로 인터넷에서 액세스할 수 있는 열려 있는 원격 데스크톱 프로토콜(RDP)을 가진 웹 서버나 유저머신의 취약성으로 인해 침입이 발생한다. 따라서 공격자는 네트워크를 통해 탐색하고 다른 대상 호스트에 침입하기 위해 측면으로 피벗해야 한다.
이를 위해 공격자들은 다음과 같은 다양한 기술을 사용한다:
- 조직 내부 인프라 내에서 사용 가능한 호스트 및 서비스를 식별하기 위해 네트워크 정찰 수행한다.
- 시스템 또는 애플리케이션의 패치되지 않은 취약성을 이용하여 추가 시스템에 대한 무단 액세스 권한을 얻거나 권한을 상향 조정한다.
- 피싱 전술을 사용하여 로그인 자격 증명을 밝히거나 악의적인 행동을 실행하도록 직원을 속인다.
- LLMNR 피독과 같은 방법을 사용하여 암호 해시를 얻는 것은 추가 공격을 위한 것이다.
이러한 측면 이동 전략은 공격자가 네트워크 내에서 기동할 수 있게 하여, 그들의 도달 범위를 점진적으로 확장하고 관심 있는 민감한 자원에 액세스할 수 있게 한다.
Discovery:
네트워크에 대한 가장 일반적인 진입 지점 중 하나는 공개된 웹 서버를 통한 것인데, 이는 0일/1일 공격 또는 파일 업로드와 같은 취약점을 통해 손상될 수 있다. 또한 RDP(Remote Desktop Protocol)가 열려 있는 호스트는 brute force공격에 취약할 수 있다. 웹 기반 공격은 종종 SQL 주입과 같은 취약점을 이용하여 데이터를 추출하거나 인증 메커니즘을 우회한다. 또한 웹 페이지에 취약한 파일 업로드 기능이 있는 경우 공격자는 원격 코드 실행(RCE)을 달성하기 위해 웹 셸을 업로드할 수 있다.
네트워크 안에서 발판을 얻은 후, 공격자들은 "adfind", "Bloodhound" 또는 다른 유사한 도구를 사용하여 피해자의 네트워크 정찰 단계를 시작한다. 탐지를 피하기 위해, 공격자들은 의심을 불러일으킬 가능성이 적은 유효한 윈도우 바이너리인 "Living of the Land Binaries" (롤빈스)를 이용한다. 롤빈스의 예는 다음과 같다:
- NET 명령어:
- Net user (유저 정보)
- Net view (Share 정보)
- PowerShell 명렁어:
- Netsh 명렁어:
- Netsh advfirewall (방화벽 확인)
Lateral Movement:
측방향 이동 (또는 내부 확산) 단계에서 공격자는 일반적으로 획득한 로그인 정보나 해시를 활용하여 네트워크 안에서 이동한다. 시스템 간에 측방향으로 이동하기 위해 원격 데스크톱 프로토콜(RDP) 또는 psexec이라는 Living of the Land Binary(lolbin)를 사용할 수 있다. 또한 공격자는 일반적으로 네트워크 이동 및 권한 확장을 용이하게 하도록 설계된 다양한 측방향 이동 모듈을 제공하는 Cobalt Strike와 같은 정교한 도구를 사용한다. 이러한 모듈은 공격자가 얻은 로그인 정보를 통한 pass-the-hash 공격, 원격 명령 실행 및 측방향 이동과 같은 다양한 방법을 실행할 수 있도록 하여 네트워크 내에서 발판을 더욱 확장한다.
Impact:
공격자는 백업 및 파일 서버에 저장된 민감한 정보에 접근할 수 있으므로 "Mega.io "과 같은 서비스를 사용하여 자신의 인프라에 데이터를 유출할 수 있다. 공격자는 전체 도메인에 대한 통제권을 확보함으로써 환경에서 지속적인 발판을 마련할 수 있으며, 이를 통해 무단 액세스를 유지하고 탐지되지 않은 상태에서 악의적인 활동을 계속할 수 있다. 이러한 수준의 액세스는 공격자에게 상당한 영향력을 제공하며 대상 조직의 데이터 및 인프라의 보안 및 무결성에 심각한 위협이 된다.
결론:
요약하자면, 피싱 공격은 기업에 심각한 위협이 되며, 사이버 범죄자들이 이메일 서버를 손상시키고 표적 공격을 시작하는 주요 입구 역할을 한다. 이러한 공격은 조직을 데이터 도난 및 측면 이동과 같은 내부 위험에 노출시킬 뿐만 아니라 기만적인 피싱 캠페인을 통해 고객 보안을 위협한다. 이메일 서버를 보호하려면 세심한 주의가 필요하며, 이상적으로 엄격한 침투 테스트와 협력적인 레드 팀 참여를 통해 강화되어야 한다. 일단 공격자들이 백업 및 파일 서버의 중요한 정보에 접근하면 데이터를 유출하고 환경에 지속적인 발판을 마련하여 악의적인 활동을 용이하게 할 수 있다.
많은 기업들의 경우 고객이나 팀원들과 주요 커뮤니케이션이 이메일을 통해 이루어진다. 타협의 경우 회사는 측면 이동이나 데이터 도난과 같은 추가적인 내부적인 타협에 직면할 뿐만 아니라 고객에게 피해를 주는 것을 목표로 하는 표적 피싱 공격의 "그라운드 제로"가 되어 고객을 위험에 빠뜨린다. 이러한 유형의 피싱 공격은 신뢰할 수 있는 출처에서 온 것이기 때문에 고객에게 유효한 것으로 보일 수 있다. 그러므로 이메일 서버의 보안에 많은 관심을 받고 가능하면 침투 테스트와 레드 팀 작전을 통해 검토하여 보안을 강화할 필요가 있다.
이번 블로그는 피싱에 대한 기본 정보를 알려드리고, 피싱 공격 시나리오 2개에 대해서 말씀드리고자 한다.
Phishing Attacks
StationX에 따르면 데이터 침해의 3분의 1 이상이 피싱에 기인하며, 10개 기업 중 8개 기업이 피싱 시도의 희생자가 된다. 또한 피싱 공격의 빈도는 매년 지속적으로 증가하고 있으며, 보고된 수치는 2019년 779,200건에서 2022년 4,744,699 건으로 증가하고 있다. 또한 랜섬웨어 공격은 특히 데이터 도난과 관련하여 기업들 사이에서 가장 우려되는 위협으로 부상한다. 피싱 이메일을 통한 침입만 해도 랜섬웨어 공격의 68%를 차지하며, 기업의 78%가 적어도 한 번 이상 랜섬웨어 공격을 경험한다.
랜섬웨어 갱단(락빗, 클롭, 아키라 등)이나 인포스틸러(라쿤스틸러, Qakbot 등) 등과 같은 재정적 동기를 가진 Threat Actor들이 주로 피싱 전략을 사용하나, APT(Advanced Persistent Threats)도 역시 이러한 전략을 사용하는 것을 꺼리지 않는다. 피싱 공격을 사용하는 APT에 대해 논의할 때, 대표적인 예로 APT 27이나 APT 41과 같은 중국 APT와 러시아 APT 29와 같은 재정적 이익과 스파이 목적을 위해 피싱 전략을 사용하는 경우가 많다. 이러한 Threat Actor들은 정부 기관과의 긴밀한 관계를 고려할 때 재정적이든 인사적이든 상당한 자원을 보유하고 있어 제로데이을 악용하는 것을 포함하여 공격을 개발하고 실행할 수 있다.
그러한 랜섬웨어 공격의 한 예는 블랙캣 랜섬웨어 갱단이 소셜네트워크 레딧(Reddit)에 침입했을 때 발생했다. 보도에 따르면 레딧은 직원들을 대상으로 한 정교한 피싱 공격의 피해자가 되었다. 레딧은 어떠한 중요한 정보도 손상되지 않았다고 주장했지만, 블랙캣 랜섬웨어 운영자들은 민감하고 기밀한 정보를 포함한 80GB의 데이터에 접근했다고 주장했다.
피싱 공격은 피해자에게 피해를 입히고 잠재적으로 전체 네트워크에 침투하기 위한 효과적인 초기 전략이다. 레딧과 같이 상당한 자원을 보유한 거대 기술 기업도 이러한 공격의 피해자가 될 수 있다. 최근 GOTROOT에서 진행한 모의해킹에서 인터넷을 사용하는 호스트를 해킹하고 악의적인 첨부 파일이 포함된 피싱 이메일을 배포하는 데 성공했다. 사용자에게 피해를 입힌 결과 피싱 캠페인이 유효한 것으로 나타나 네트워크를 더 깊이 파고들어 액세스를 확장할 수 있었다. 이 시나리오는 피싱 공격에 대한 경계와 그 영향을 완화하기 위한 강력한 사이버 보안 조치의 필요성을 강조하며 이 시나리오를 다음으로 설명하고자 한다.
Email Harvesting, Phishing, Account Compromise
1. Email Address Gathering:
공격자는 회사 웹사이트, 소셜 미디어 플랫폼 및 온라인 포럼을 포함한 다양한 공공 소스로부터 이메일 주소를 수집함으로써 공격을 시작한다. 자동화된 도구를 사용하여 공개적으로 접근 가능한 데이터베이스로부터 이메일 주소를 긁어모으거나 그런 데이터가 거래되는 다크웹 페이자에서 구매하는 경우도 많다. 이 초기 단계는 해커들에게 앞으로 이루어질 피싱 캠페인의 피해자들에 대한 정보를 제공한다.
2. Phishing Campaign:
공격자는 수집된 이메일 주소를 가지고 신뢰할 수 있는 발신자의 서신으로 나타나도록 설득력이 있는 피싱 이메일을 작성한다. 이러한 이메일은 종종 잘 알려진 조직, 금융 기관 또는 소셜 미디어 플랫폼을 모방한다. 이메일의 내용은 수신자가 악의적인 링크를 클릭하거나 첨부 파일을 다운로드하는 것과 같은 즉각적인 조치를 취하도록 유도하도록 신중하게 설계된다. 일반적인 전략에는 절박감을 조성하거나 유혹적인 제안 또는 보상을 제공하는 것이 포함된다.
3. Account Leak:
수신자가 피싱 이메일의 피해자가 되어 자신도 모르게 자신의 로그인 정보를 제공하면 공격자는 피해자의 계정에 무단으로 액세스할 수 있다. 여기에는 이메일 계정, 소셜 미디어 프로필 또는 직원이 대상인 경우 회사 계정도 포함될 수 있다. 손상된 계정에 액세스하면 공격자는 다음을 수행할 수 있다:
- 정보 수확: 공격자는 연락처, 개인 데이터 또는 회사 문서와 같이 손상된 계정 내에 저장된 추가적인 민감한 정보를 수집할 수 있다.
- 추가 공격 확산: 손상된 이메일 계정을 사용하여 추가 피싱 공격을 시작하여 조직 내 또는 외부 당사자의 더 넓게 감염을 확산시킬 수 있다.
- 금전적 이득: 공격자는 부정 거래를 시작하거나, 신분 도용을 하거나, 다른 형태의 사이버 범죄에 관여함으로써 금전적 이득을 얻기 위해 손상된 계정을 악용할 수 있다.
- 사이버 공격의 발판: 손상된 계정은 랜섬웨어 공격을 시작하거나 기업 네트워크의 기밀 데이터를 유출하는 등 광범위한 사이버 공격의 발판이 될 수 있다.
E-Mail / File Server Compromise
Initial Access:
이 시나리오에서는 민감한 파일이나 이메일 서버가 공공 인터넷에 노출되지 않는 상황을 고려하고 있다. 그러나 실제로 인터넷에서 액세스할 수 있는 열려 있는 원격 데스크톱 프로토콜(RDP)을 가진 웹 서버나 유저머신의 취약성으로 인해 침입이 발생한다. 따라서 공격자는 네트워크를 통해 탐색하고 다른 대상 호스트에 침입하기 위해 측면으로 피벗해야 한다.
이를 위해 공격자들은 다음과 같은 다양한 기술을 사용한다:
이러한 측면 이동 전략은 공격자가 네트워크 내에서 기동할 수 있게 하여, 그들의 도달 범위를 점진적으로 확장하고 관심 있는 민감한 자원에 액세스할 수 있게 한다.
Discovery:
네트워크에 대한 가장 일반적인 진입 지점 중 하나는 공개된 웹 서버를 통한 것인데, 이는 0일/1일 공격 또는 파일 업로드와 같은 취약점을 통해 손상될 수 있다. 또한 RDP(Remote Desktop Protocol)가 열려 있는 호스트는 brute force공격에 취약할 수 있다. 웹 기반 공격은 종종 SQL 주입과 같은 취약점을 이용하여 데이터를 추출하거나 인증 메커니즘을 우회한다. 또한 웹 페이지에 취약한 파일 업로드 기능이 있는 경우 공격자는 원격 코드 실행(RCE)을 달성하기 위해 웹 셸을 업로드할 수 있다.
네트워크 안에서 발판을 얻은 후, 공격자들은 "adfind", "Bloodhound" 또는 다른 유사한 도구를 사용하여 피해자의 네트워크 정찰 단계를 시작한다. 탐지를 피하기 위해, 공격자들은 의심을 불러일으킬 가능성이 적은 유효한 윈도우 바이너리인 "Living of the Land Binaries" (롤빈스)를 이용한다. 롤빈스의 예는 다음과 같다:
Lateral Movement:
측방향 이동 (또는 내부 확산) 단계에서 공격자는 일반적으로 획득한 로그인 정보나 해시를 활용하여 네트워크 안에서 이동한다. 시스템 간에 측방향으로 이동하기 위해 원격 데스크톱 프로토콜(RDP) 또는 psexec이라는 Living of the Land Binary(lolbin)를 사용할 수 있다. 또한 공격자는 일반적으로 네트워크 이동 및 권한 확장을 용이하게 하도록 설계된 다양한 측방향 이동 모듈을 제공하는 Cobalt Strike와 같은 정교한 도구를 사용한다. 이러한 모듈은 공격자가 얻은 로그인 정보를 통한 pass-the-hash 공격, 원격 명령 실행 및 측방향 이동과 같은 다양한 방법을 실행할 수 있도록 하여 네트워크 내에서 발판을 더욱 확장한다.
Impact:
공격자는 백업 및 파일 서버에 저장된 민감한 정보에 접근할 수 있으므로 "Mega.io "과 같은 서비스를 사용하여 자신의 인프라에 데이터를 유출할 수 있다. 공격자는 전체 도메인에 대한 통제권을 확보함으로써 환경에서 지속적인 발판을 마련할 수 있으며, 이를 통해 무단 액세스를 유지하고 탐지되지 않은 상태에서 악의적인 활동을 계속할 수 있다. 이러한 수준의 액세스는 공격자에게 상당한 영향력을 제공하며 대상 조직의 데이터 및 인프라의 보안 및 무결성에 심각한 위협이 된다.
결론:
요약하자면, 피싱 공격은 기업에 심각한 위협이 되며, 사이버 범죄자들이 이메일 서버를 손상시키고 표적 공격을 시작하는 주요 입구 역할을 한다. 이러한 공격은 조직을 데이터 도난 및 측면 이동과 같은 내부 위험에 노출시킬 뿐만 아니라 기만적인 피싱 캠페인을 통해 고객 보안을 위협한다. 이메일 서버를 보호하려면 세심한 주의가 필요하며, 이상적으로 엄격한 침투 테스트와 협력적인 레드 팀 참여를 통해 강화되어야 한다. 일단 공격자들이 백업 및 파일 서버의 중요한 정보에 접근하면 데이터를 유출하고 환경에 지속적인 발판을 마련하여 악의적인 활동을 용이하게 할 수 있다.